66 контрольных вопросов соблюдения НКО требований законодательства в сфере персональных данных

Соблюдаются ли контролируемым лицом (некоммерческой организацией) обязательные требования при обработке ПДн в части совместимости с целями сбора ПДн? (ч. 2 ст. 5 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования к содержанию и объему ПДн в части соответствия заявленным целям обработки? (ч. 5 ст. 5 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по обработке ПДн в случаях, предусмотренных ФЗ «О персональных данных»? (ч. 1 ст. 6 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования при поручении иному лицу осуществлять обработку ПДн с согласия субъекта ПДн, если иное не предусмотрено законом о персональных данных? (ч. 3 ст. 6 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования к поручению обработки ПДн лицу, которому поручается обработка ПДн, в части определения перечня ПДн, перечня действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, цели их обработки, установления обязанности такого лица соблюдать конфиденциальность ПДн, требований, предусмотренных ч. 5 ст. 18 и ст. 18.1 закона о персональных данных, обязанности по запросу оператора ПДн в течение срока действия поручения оператора, в том числе до обработки ПДн, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии со ст. 6 закона о персональных данных, обязанности обеспечивать безопасность ПДн при их обработке, а также указания требований к защите обрабатываемых ПДн в соответствии со ст. 19 закона о персональных данных, в том числе требование об уведомлении оператора о случаях, предусмотренных ч. 3.1 ст. 21 закона о персональных данных? (ч. 3 ст. 6 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по нераскрытию третьим лицам и нераспространению ПДн данные без согласия субъекта ПДн? (ст. 7 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по включению ПДн в общедоступные источники ПДн с письменного согласия субъекта ПДн? (ч. 1 ст. 8 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по исключению сведений о субъекте ПДн из общедоступных источников ПДн по требованию субъекта ПДн либо по решению суда или иных уполномоченных государственных органов? (ч. 2 ст. 8 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по предоставлению доказательств получения согласия субъекта ПДн на обработку его ПДн или доказательств наличия оснований, указанных в п. 2−11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 закона о персональных данных? (ч. 3 ст. 9 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования к содержанию письменного согласия субъекта ПДн на обработку ПДн? (ч. 4 ст. 9 ФЗ «О персональных данных»)

Обрабатываются ли контролируемым лицом специальные категории ПДн в случаях, предусмотренных ч. 2 и 2.1 ст. 10 закона о персональных данных? (ч. 2 ст. 10 ФЗ «О персональных данных»)

Обрабатываются ли контролируемым лицом специальные категории ПДн (сведения о судимости) в случаях, предусмотренных ч. 3 ст. 10 закона о персональных данных? (ч. 3 ст. 10 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по наличию согласия субъекта ПДн, разрешенных субъектом ПДн для распространения, отдельно оформленного от иных согласий на обработку его ПДн? (ч. 1 ст. 10.1 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования к содержанию согласия на обработку ПДн, разрешенных субъектом ПДн для распространения? (ч. 1 ст. 10.1 ФЗ «О персональных данных», Приказ Роскомнадзора от 24.02.2021 N 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения»)

Предоставлены ли контролируемым лицом доказательства законности распространения или иной обработки ПДн, разрешенных субъектом ПДн для распространения, в случае раскрытия ПДн неопределенному кругу лиц самим субъектом ПДн без предоставления оператору согласия на обработку таких ПДн? (ч. 2 ст. 10.1 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по опубликованию информации об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц ПДн, разрешенных субъектом ПДн для распространения, в срок не позднее 3 рабочих дней с момента получения соответствующего согласия субъекта ПДн? (ч. 10 ст. 10.1 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по прекращению передачи (распространение, предоставление, доступ) ПДн в случае обращения субъекта ПДн с требованием прекратить передачу (распространение, предоставление, доступ) своих ПДн, ранее разрешенных субъектом ПДн для распространения, в течение 3 рабочих дней с момента получения требования субъекта ПДн или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение 3 рабочих дней с момента вступления решения суда в законную силу? (ч. 14 ст. 10.1 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования при обработке биометрических ПДн субъекта персональных данных в части наличия согласия субъекта ПДн на обработку его ПДн в письменной форме за исключением случаев, предусмотренных ч. 2 ст. 11 закона о персональных данных? (ч. 1 ст. 11 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по уведомлению уполномоченного органа по защите прав субъектов ПДн о своем намерении осуществлять трансграничную передачу ПДн до начала осуществления деятельности по трансграничной передаче ПДн? (ч. 3 ст. 12 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по представлению в уполномоченный орган по защите прав субъектов ПДн уведомления о намерении осуществлять трансграничную передачу ПДн, содержащего сведения, предусмотренные ч. 4 ст. 12 закона о персональных данных? (ч. 4 ст. 12 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по получению от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача ПДн, сведений, предусмотренных ч. 5 ст. 12 закона о персональных данных, до подачи уведомления о намерении осуществлять трансграничную передачу ПДн? (ч. 5 ст. 12 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по предоставлению по запросу уполномоченного органа по защите прав субъектов ПДн сведений, предусмотренных п. 1−3 ч. 5 ст. 12 закона о персональных данных, в течение 10 рабочих дней с даты получения такого запроса? (ч. 6 ст. 12 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по неосуществлению трансграничной передачи ПДн на территории указанных в уведомлении, предусмотренном ч. 3 ст. 12 закона о персональных данных, иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн и не включенных в предусмотренный ч. 2 ст. 12 закона о персональных данных перечень, после направления уведомления о намерении осуществлять трансграничную передачу ПДн до истечения сроков, указанных в ч. 9 ст. 12 закона о персональных данных, за исключением случая, если такая трансграничная передача ПДн необходима для защиты жизни, здоровья, иных жизненно важных интересов субъекта ПДн или других лиц? (ч. 11 ст. 12 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по обеспечению уничтожения органом власти иностранного государства, иностранным физическим лицом, иностранным юридическим лицом ранее переданных им ПДн, в случае принятия уполномоченным органом по защите прав субъектов ПДн решения о запрещении или об ограничении трансграничной передачи ПДн? (ч. 14 ст. 12 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по исполнению требования субъекта ПДн об уточнении его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки? (ч. 1 ст. 14 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по предоставлению субъекту ПДн в доступной форме сведений, указанных в ч. 7 ст. 14 закона о персональных данных? (ч. 2 ст. 14 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по непредоставлению ПДн, относящихся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн? (ч. 2 ст. 14 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования при обработке ПДн субъекта ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации при условии наличия предварительного согласия субъекта ПДн? (ч. 1 ст. 15 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по немедленному прекращению обработки ПДн по требованию субъекта ПДн обработки его ПДн в случаях, указанных в ч. 1 ст. 15 закона о персональных данных? (ч. 2 ст. 15 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования при принятии решения, порождающего юридические последствия в отношении субъекта ПДн, на основании исключительно автоматизированной обработки его ПДн, по наличию согласия в письменной форме субъекта ПДн или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта ПДн? (ч. 2 ст. 16 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по предоставлению субъекту ПДн по его просьбе информации, предусмотренной ч. 7 ст. 14 закона о персональных данных при сборе его ПДн? (ч. 1 ст. 18 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по разъяснению субъекту ПДн юридических последствий отказа предоставить его ПДн и (или) дать согласие на их обработку, в случае, если в соответствии с федеральным законом предоставление ПДн и (или) получение оператором согласия на обработку ПДн являются обязательными? (ч. 2 ст. 18 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по предоставлению субъекту ПДн информации до начала обработки ПДн, в случае если ПДн получены не от субъекта ПДн, за исключением случаев, предусмотренных ч. 4 ст. 18 закона о персональных данных? (ч. 3 ст. 18 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения ПДн граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, при сборе ПДн? (ч. 5 ст. 18 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по принятию мер, необходимых и достаточных для выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами? (ч. 1 ст. 18.1 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по опубликованию или обеспечению неограниченного доступа к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн? (ч. 2 ст. 18.1 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по принятию необходимых организационных мер для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий? (ч. 1 ст. 19 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по сообщению в порядке, предусмотренном ст. 14 закона о персональных данных, субъекту ПДн или его представителю информации о наличии ПДн, относящихся к соответствующему субъекту ПДн, а равно по ознакомлению с этими ПДн при обращении субъекта ПДн или его представителя либо в течение 10 рабочих дней с даты получения запроса субъекта ПДн или его представителя? (ч. 1 ст. 20 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по представлению в письменной форме мотивированного ответа, содержащего ссылку на положение ч. 8 ст. 14 закона о персональных данных или иного федерального закона, являющееся основанием для отказа в представлении субъекту ПДн или его законному представителю информации о наличии ПДн о соответствующем субъекте в срок, не превышающий 10 рабочих дней со дня обращения субъекта ПДн или его представителя либо с даты получения запроса субъекта ПДн или его представителя? (ч. 2 ст. 20 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по предоставлению субъекту ПДн или его представителю возможности ознакомления с ПДн, относящимися к этому субъекту ПДн? (ч. 3 ст. 20 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по внесению необходимых изменений или уничтожению ПДн в случае предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн являются неполными, неточными, неактуальными, незаконно полученными или не являются необходимыми для заявленной цели обработки в срок, не превышающий 7 рабочих дней со дня предоставления таких сведений, а также по уведомлению о внесенных изменениях и предпринятых мерах и принятию разумных мер для уведомления третьих лиц, которым ПДн этого субъекта были переданы? (ч. 3 ст. 20 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по блокированию ПДн в случае выявления неправомерной обработки ПДн или неточных ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя, либо уполномоченного органа по защите прав субъектов ПДн с момента такого обращения или получения указанного запроса на период проверки? (ч. 1 ст. 21 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по уточнению ПДн в случае подтверждения факта неточности ПДн на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов в течение 7 рабочих дней со дня представления таких сведений? (ч. 2 ст. 21 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по прекращению неправомерной обработки ПДн в случае выявления неправомерной обработки ПДн в срок, не превышающий 3 рабочих дней с даты этого выявления, или уничтожению ПДн в случае невозможности обеспечить правомерность обработки ПДн в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки? (ч. 3 ст. 21 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по уведомлению уполномоченного органа по защите прав субъектов ПДн о факте неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов ПДн или иным заинтересованным лицом:

— в течение 24 часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов ПДн, и предполагаемом вреде, нанесенном правам субъектов ПДн, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов ПДн, по вопросам, связанным с выявленным инцидентом;

— в течение 72 часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии)? (ч. 3.1 ст. 21 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по прекращению обработки ПДн и уничтожению ПДн в случае достижения цели обработки ПДн в срок, не превышающий 30 дней с даты достижения цели обработки ПДн? (ч. 4 ст. 21 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по прекращению обработки ПДн и уничтожению ПДн в случае отзыва субъектом ПДн согласия на обработку своих ПДн в срок, не превышающий 30 дней с даты поступления указанного отзыва? (ч. 5 ст. 21 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по прекращению обработки ПДн или обеспечению прекращения обработки ПДн (если такая обработка осуществляется лицом, осуществляющим обработку ПДн) в случае обращения субъекта ПДн к оператору с требованием о прекращении обработки ПДн в срок, не превышающий 10 рабочих дней с даты получения оператором соответствующего требования, за исключением случаев, предусмотренных п. 2−11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 закона о персональных данных? (ч. 5.1 ст. 21 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по осуществлению блокирования и уничтожения ПДн в случае отсутствия возможности уничтожения ПДн в течение срока, указанного в ч. 3−5.1 ст. 21 закона о персональных данных, в срок не более чем 6 месяцев, если иной срок не установлен федеральными законами? (ч. 6 ст. 21 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по подтверждению уничтожения ПДн в случаях, предусмотренных ст. 21 закона о персональных данных, в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов ПДн? (ч. 7 ст. 21 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по представлению уведомления по обработке ПДн при осуществлении деятельности по обработке ПДн, не попадающей под исключения ч. 2 ст. 22 закона о персональных данных? (ч. 1 ст. 22 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по представлению в уполномоченный орган по защите прав субъектов ПДн уведомления об обработке ПДн, содержащего сведения, предусмотренные ч. 3 ст. 22 закона о персональных данных? (ч. 3 ст. 22 ФЗ «О персональных данных»)

Соблюдаются ли контролируемым лицом обязательные требования по уведомлению уполномоченного органа по защите прав субъектов ПДн в случае изменения сведений, содержащихся в уведомлении об обработке ПДн, а также в случае прекращения обработки ПДн в течение 10 рабочих дней с даты возникновения таких изменений или с даты прекращения обработки ПДн? (ч. 7 ст. 22 ФЗ «О персональных данных»)

Назначено ли контролируемым лицом лицо, ответственное за организацию обработки ПДн? (ч. 1 ст. 22.1 ФЗ «О персональных данных»)

Предоставляются ли контролируемым лицом сведения, указанные в ч. 3 ст. 22 закона о персональных данных, лицу, ответственному за организацию обработки ПДн? (ч. 3 ст. 22.1 ФЗ «О персональных данных»)

Исполняются ли лицом, назначенным контролируемым лицом ответственным за организацию обработки ПДн, установленные ч. 4 ст. 22.1 закона о персональных данных, обязанности? (ч. 4 ст. 22.1 ФЗ «О персональных данных»)

Соблюдается ли контролируемым лицом запрет по недопущению фиксации на одном материальном носителе ПДн, цели обработки которых заведомо не совместимы? (п. 5 Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15.09.2008 N 687)

Соблюдаются ли контролируемым лицом обязательные требования по информированию лиц, осуществляющих обработку ПДн без использования средств автоматизации, о факте обработке ими ПДн, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки? (п. 6 Положения об особенностях обработки персональных данных)

Соблюдаются ли контролируемым лицом обязательные требования к содержанию типовых форм документов, характер информации которых предполагает или допускает включение в них ПДн? (п. 7 Положения об особенностях обработки персональных данных)

Соблюдаются ли контролируемым лицом обязательные требования к условиям ведения журналов (реестров, книг), содержащих ПДн, необходимые для однократного пропуска субъекта ПДн на территорию, на которой находится оператор, или в иных аналогичных целях? (п. 8 Положения об особенностях обработки персональных данных)

Соблюдаются ли контролируемым лицом обязательные требования по изданию документов, устанавливающих места хранения ПДн (материальных носителей), а также перечня лиц, осуществляющих обработку ПДн либо имеющих к ним доступ? (п. 13 Положения об особенностях обработки персональных данных)

Соблюдаются ли контролируемым лицом обязательные требования по раздельному хранению ПДн (материальных носителей), обработка которых осуществляется в различных целях без использования средств автоматизации? (п. 14 Положения об особенностях обработки персональных данных)

Соблюдаются ли контролируемым лицом обязательные требования по изданию перечня мер, необходимых для обеспечения сохранности ПДн и исключающих несанкционированный к ним доступ при хранении материальных носителей, а также перечня лиц, ответственных за реализацию указанных мер? (п. 15 Положения об особенностях обработки персональных данных)

Соблюдаются ли контролируемым лицом обязательные требования по ознакомлению работников и их представителей с документами работодателя, устанавливающими порядок обработки ПДн работников? (п. 8 ст. 86 Трудового кодекса Российской Федерации)

Соблюдаются ли контролируемым лицом обязательные требования по наличию документов, устанавливающих порядок хранения и использования ПДн работников? (ст. 87 Трудового кодекса Российской Федерации)

Соблюдаются ли контролируемым лицом обязательные требования при передаче ПДн работников третьим лицам? (ст. 88 Трудового кодекса Российской Федерации)